 | |
| 2070 × 1554 пикс. Открыть в новом окне | |
4.3 Элементы политики безопасности информационно-телекоммуникационных технологий организации
Политика безопасности ИТТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТТ организации. Необходимо выработать и сохранять политику безопасности ИТТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТТ.
Чем более организация полагается на ИТТ, тем важнее ее безопасность, которая обеспечивает выполнение бизнес-задач. При формировании политики безопасности ИТТ следует помнить об особенностях культуры, окружающей среды организации, поскольку они влияют на подход к безопасности, например на защитные меры, которые могут быть легко приняты в одной среде и быть абсолютно неприемлемы в другой. Деятельность в области безопасности, изложенная в политике безопасности ИТТ, может основываться на организационных целях и стратегиях, результатах предыдущих исследований по оценке и управлению риском, результатах мероприятий по сопровождению создаваемых защитных мер, мониторинге, аудите и анализе безопасности ИТТ в процессе текущей деятельности и отчетах об инцидентах безопасности. Любая серьезная угроза или уязвимость, замеченная в ходе данных мероприятий, должна быть соотнесена с политикой организации, описывающей общий подход к решению этих проблем безопасности. Детальные действия излагаются в различных политиках безопасности ИТТ или других вспомогательных документах, например в организационных методах безопасности.
В разработке политики безопасности ИТТ организации должны принимать участие представители направлений, связанных с:
- аудитом;
- правом;
- финансами;
- информационными системами (специалисты и пользователи);
- коммунальными службами/инфраструктурой (лица, отвечающие за здания, размещение, электроснабжение и кондиционирование);
- персоналом;
- безопасностью;
- руководством.
В соответствии с целями безопасности и стратегией, принятой организацией для достижения этих целей, определяется надлежащий уровень детализации политики безопасности ИТТ организации. Политика безопасности ИТТ должна распространяться на:
- предмет и задачи безопасности;
- цели безопасности с учетом правовых и регулирующих обязательств, а также с учетом бизнес- целей;
- требования безопасности ИТТ к обеспечению конфиденциальности, целостности, доступности, безотказности, подотчетности и аутентичности информации и средств ее обработки;
- ссылки на стандарты, лежащие в основе данной политики;
- администрирование информационной безопасности, охватывающее организационные и индивидуальные ответственности и полномочия;
- подход к управлению риском, принятый в организации;
- метод определения приоритетов реализации защитных мер;
- уровень безопасности и остаточный риск, определяемый руководством организации;
- общие правила контроля доступа (логический контроль доступа, а также контроль физического доступа в здания, помещения, к системам и информации);
- подходы к осведомленности о безопасности и повышение квалификации в области безопасности в рамках организации;
- процедуры проверки и поддержания безопасности;
- общие вопросы защиты персонала;
- способы, которыми политика безопасности будет доведена до сведения всех заинтересованных лиц;
- условия анализа или аудита политики безопасности;
- метод контроля изменений в политике безопасности.
Организации должны оценить свои требования, окружающую среду и уровень развития и определить наиболее отвечающую им специфическую проблему безопасности. Эта проблема включает в себя:
- требования безопасности ИТТ, например требования конфиденциальности, целостности, доступности, неотказуемости, аутентичности и достоверности, особенно с учетом мнений владельцев активов;
- организационную инфраструктуру и распределение обязанностей;
- интеграцию безопасности при совершенствовании системы и закупках;
- определение методов и уровней классификации информации;
- стратегию управления рисками;
- планирование непрерывности бизнеса;
- вопросы, связанные с персоналом (особое внимание должно быть уделено персоналу, занимающему ответственные должности, такому как технический персонал и системные администраторы);
- осведомленность и обучение персонала;
- правовые и регулирующие обязательства;
- менеджмент, осуществляемый независимым экспертом;
- управление инцидентами информационной безопасности.
Как отмечено выше, результаты исследований по оценке риска, проверок соответствия безопасности и инцидентов безопасности могут оказывать влияние на политику безопасности ИТТ организации. Это, в свою очередь, может потребовать пересмотра или совершенствования ранее определенной стратегии или политики безопасности.
Для обеспечения адекватной поддержки всех связанных с безопасностью мер политика безопасности ИТТ должна быть одобрена руководством организации.
На основе политики безопасности ИТТ должны быть подготовлены директивные указания, обязательные для всех руководителей и сотрудников организации. Это может потребовать подписания каждым сотрудником документа, подтверждающего его обязанности в рамках безопасности данной организации. Далее следует развивать и осуществлять программу осведомленности о безопасности, разъясняющую эти обязанности.
Должен быть назначен ответственный за политику безопасности ИТТ, который должен обеспечивать соответствие политики требованиям и актуальному статусу данной организации. Обычно им является сотрудник службы безопасности, который несет ответственность за следующие действия: проверку соответствия безопасности, ревизию, аудит, обработку инцидентов, выявление слабых мест в безопасности и внесение изменений в политику безопасности ИТТ организации, которые могут потребоваться по результатам подобных действий.
5 Организационные аспекты безопасности информационно-телекоммуникационных технологий
5.1 Служебные обязанности и ответственность
5.1.1 Служебные обязанности, подотчетность и ответственность в организации
Эффективная безопасность требует подотчетности, исчерпывающего определения и признания обязанностей в сфере безопасности. Руководство должно отвечать за все аспекты управления безопасностью, включая принятие решений по управлению рисками. Отдельные ее факторы, такие как тип, форма регистрации, размер и структура организации, повлияют на то, на каком уровне будут определены эти обязанности. Безопасность ИТТ - это междисциплинарная тема, относящаяся к каждому проекту ИТТ и ко всем пользователям внутри организации. Надлежащее определение и разграничение подотчетности, специфических служебных обязанностей и ответственности должно обеспечивать эффективное и квалифицированное выполнение всех важных задач. В малых организациях их руководство может исполнять обязанности, связанные с безопасностью, либо другие сотрудники могут выполнять две и более функций безопасности. В подобных случаях для исключения конфликта интересов и обеспечения необходимого разделения служебных обязанностей нужны независимые ревизии.
Хотя эта цель может быть достигнута при помощи различных организационных схем, зависящих от размера и структуры организации, в каждой организации должны присутствовать следующие служебные обязанности: